Mã độc này có tên Joker, được thiết kế để bí mật tự động đăng ký các thuê bao dịch vụ cao cấp trả phí cho nạn nhân, bên cạnh việc ăn cắp tin nhắn SMS, danh bạ và thông tin thiết bị của nạn nhân.
CSIS Security Group đã phát hiện được 24 ứng dụng trên chợ ứng dụng Google Play, có chứa mã độc này. Chúng đã được cài đặt hơn 472.000 lượt trước khi bị Google lọc khỏi chợ ứng dụng Google Play.
Hoạt động của Joker đã nhắm vào nhiều người dùng ở 37 quốc gia trên thế giới, trong đó có Úc, Trung Quốc, Đức, Ấn Độ, Singapore, Thụy Sĩ, Các Tiểu vương quốc A-rập Thống nhất (UAE), Anh và Mỹ.
Theo CSIS Security Group, mã độc này không chỉ bí mật phân phát các hoạt động nguy hiểm thực sự từ máy chủ ra lệnh và điều khiển (C&C) của tin tặc, mà còn được lập trình hạn chế để lại dấu vết bằng cách ẩn nấp bên trong các quảng cáo trong các ứng dụng.
Ngoài việc định kỳ yêu cầu những lệnh mới từ máy chủ C&C, mã độc còn tiến xa hơn một bước là âm thầm tự động nhấp vào quảng cáo và đột nhập các tin nhắn SMS có chứa mã xác thực để xác thực thanh toán các thuê bao.
Các ứng dụng này bao gồm: Advocate Wallpaper, Age Face, Altar Message, Antivirus Security – Security Scan, Beach Camera, Board picture editing, Certain Wallpaper, Climate SMS, Collate Face Scanner, Cute Camera, Dazzle Wallpaper, Declare Message, Display Camera, Great VPN, Humour Camera, Ignite Clean, Leaf Face Scanner, Mini Camera, Print Plant scan, Rapid Face Scanner, Reward Clean, Ruddy SMS, Soby Camera và Spark Wallpaper.
Nếu người dùng đã cài đặt bất kỳ ứng dụng nào trong số các ứng dụng nói trên, người dùng nên kiểm tra lại lịch sử giao dịch để xem có khoản thanh toán nghi ngờ nào không. Bên cạnh đó, người dùng cũng nên xem xét kỹ lưỡng các quyền đã cấp cho các ứng dụng đã cài đặt trên thiết bị Android của mình.